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摘 要 : 随 着 4 比特 S 金 在 轻 量 级 密码 算法 中 的 广泛 应 用 ， 如 何 捕获 这 些 4 比特 S 金 其 输入 及 输出 的 代数 关系 成 为 
了 目前 的 研究 热点 之 一 。 根 据 S 金 的 输入 输出 关系 ， 提 出 了 n 比特 S 人 金 的 非 线性 回路 代数 关系 的 通用 求解 算法 。 针 
对 4 比特 S 金 设计 了 高 效 的 非 线性 回路 代数 关系 求解 算法 ， 并 对 国际 公认 的 16 类 最 优 4 比 特 S 人 金 及 多 个 著名 的 轻 
量 级 密码 算法 中 的 S 盒 进行 了 测试 分 析 。 同 时 ， 还 对 上 述 轻 量 级 密码 算法 中 S 盒 所 属 等 价 类 进行 了 检测 。 研 究 结 果 
表明 : 16 类 8 使 代 表 元 中 只 有 3 类 不 存在 二 次 回路 代数 关系 ; 同属 等 价 类 S 盒 可 能 会 有 不 同 的 二 次 回路 代数 关系 ; 
MANTIS，PRIDE，Marvin 等 轻 量 级 算法 的 $ 盒 存在 多 个 二 次 回路 代数 关系 。 即 这 些 包 含 低 次 回路 代数 关系 的 S 盒 
存在 潜在 的 安全 缺陷 。 
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New analysis of low degree algebraic relation between input and output of 4-bit s-boxes 


Cheng Yuedan’, Wei Yongzhuangt “i, Ye Taoa 
(a. Guangxi Key Laboratory of Wireless Wideband Communication & Signal Processing, b. Guangxi Key Laboratory of 
Cryptography & Information Security, c. Guangxi Colleges & Universities Key Laboratory of Cloud Computing & Complex 
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Abstract: Currently, with the extensive use of the 4-bit S-Boxes in lightweight encryption algorithms, it appears to be an 
important issue to look for the algebraic relationships between their inputs and outputs. This paper proposed a general 
algorithm for calculating the nonlinear loop algebraic relationships by using the low algebraic relationships between input 
and output of S-Box. Moreover, it checked algebraic relationships of both the well-known optimal 4-bit S-Boxes and the 
S-boxes used in some famous lightweight encryption algorithms. The results shown that only 3 classes of 16 categories of 
optimal 4-bit S-Boxes had square loop algebraic relationships. In particular, the S-Boxes belonging to the same equivalence 
class may possess different square loop algebraic relationships. Furthermore, the S-Boxes of some lightweight cryptographic 
algorithms (e. g. , MANTIS, PRIDE, and Marvin) had many square loop algebraic relationships. There exists potential 
security flaws of these S-boxes which possess low degree algebraic relationships. 
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0 ”引言 S 盒 的 安全 性 指标 有 差分 均匀 性 、( 非 ) 线 性 度 、 代 数 次 数 
加 及 项 数 分 布 、 代 数 免疫 阶 等 20， 但 目前 对 $ 盒 的 研究 主要 集 

1974 年 ，Feistel 在 文献 [1] 中 首次 提出 密码 S 盒 的 概念 。 中 于 差分 均匀 性 和 非 线性 度 P3。 针 对 4 比特 S 盒 的 这 两 种 代 

随 着 数据 加 密 标准 (DES)D 的 广泛 应 用 ，S 盒 已 经 成 为 对 称 密 “ 数 关系 ，2007 年 ，Leander 等 人 外 提出 最 优 $ 盒 的 概念 ， 并 
码 算法 设计 的 关键 。S 盒 以 4 比特 和 8 比特 最 为 常见 ， 例 如 ， 将 所 有 4 比特 最 优 $ 盒 分 为 16 类 。2011 年 ，Markku 在 文献 
AESBGI 中 使 用 了 8 比特 $ 盒 。SERPENT0GI 和 NOEKEON 咽 则 [24] 中 展示 了 所 有 4 比特 $S 盒 的 置换 等 价 类 。 同 年 ，Ullrich 
使 用 了 4 比特 $ 盒 。 注 意 到 ， 在 硬件 实现 时 ，8 比特 $ 盒 往 ”等 人 D 将 便于 硬件 实现 的 4 比特 8$ 盒 分 为 302 个 仿 射 等 价 类 。 


往 会 消耗 更 多 硬件 电路 。 因 此 ， 为 了 减少 硬件 面积 消耗 ， 提 ”” 在 FSE2015 会 议 上 , Zhang 等 人 P29 将 所 有 4 比特 最 优 $ 盒 划 
高 数据 处 理 速度 ，4 比特 S 盒 在 资源 受 限 的 轻 量 级 密码 算法 分 为 183 类 。2016 年 ，Cheng 等 人 中 提出 了 一 种 4 比特 双 射 
的 设计 中 得 到 了 广泛 应 用 四， 如 分 组 密码 PRESENT!SI， S 盒 的 置换 等 价 类 优化 的 搜索 算法 .2016 年 亚洲 密码 会 议 上 ， 
PRINTI9 ，LEDIoO] ，LBlockIL0 ，PRINCEI2] ，SIMON03] ， Todo 等 人 PC 针对 一 些 轻 量 级 密码 算法 密 钥 编 排 简单 的 特点 
SPECK03] ， RECTANGLE04 ， PRIDEI5 ， MANTIS09 ， 提出 了 非 线 性 不 变 子 攻击 。2017 年 ，Beierle 等 人 29] 提 出 了 
SKINNYI6，GIFTU71，GRANULEI8，Marvin09 等 ， 哈 希 函 通过 选择 合适 的 轮 常 量 来 抵抗 非 线 性 不 变 子 的 方法 。2018 
数 PHONTONPE0，SPONGENTEC0 等 。 年 ，Beyne 将 分 组 密码 的 非 线 性 不 变 子 作 为 相关 和 矩阵 的 特征 
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程 月 单 ， 等 : 


向 量 ， 并 和 积分 攻击 相 结合 ， 提 出 了 新 的 非 线性 不 变 子 的 分 
。2018 年 ，Wei 等 人 6B0 提 出 了 广义 非 线性 不 变 子 攻 
击 方法 。 注 意 到 ， 文 献 [30] 提 出 了 密码 算法 的 非 线 性 回路 方 


程 的 概念 ， 但 未 给 出 非 线性 回路 方程 的 快速 求解 算法 。 特 别 
地 ， 随 着 新 攻击 方法 的 出 现 ，S 盒 是 否 存在 新 的 安全 缺陷 等 
仍 


有 待 进一步 解决 。 
用 S 盒 的 输入 输出 关系 ， 将 非 线性 回路 代数 关系 
作为 S 盒 安全 性 新 指标 ， 给 出 了 4 比特 $ 盒 非 线性 回路 代数 
关系 的 快速 求解 算法 。 针 对 16 类 最 优 4 比特 S 盒 及 多 个 著 
名 轻 量 级 密码 算法 4 比特 S 盒 ， 进 行 了 输入 输出 的 二 次 回路 
代数 关系 测试 ， 并 根据 仿 射 等 价 关 系 ， 对 被 测试 $ 盒 进 行 了 
分 类 。 结 果 表 明 : 16 类 $ 盒 代表 元 只 有 3 类 不 存在 二 次 回路 
代数 关系 ; 大 部 分 轻 量 级 $ 盒 存在 二 次 回路 代数 关系 ， 如 近 
两 年 提出 的 MANTIS，PRIDE，Marvin 等 算法 的 $ 盒 均 存 在 
二 次 回路 代数 关系 ， 这 表明 实际 算法 可 能 存在 潜在 的 安全 隐 
上 


心 Mo 


1 ”预备 知识 


香农 在 文献 [32] 中 指出 ， 构 建安 全 的 分 组 密码 需 具备 数 
据 混 淆 和 扩散 的 能 力 。 在 大 多 数 情 况 下 ， 扩 散 通 过 一 系列 线 
性 操作 对 状态 位 混合 来 实现 ， 而 混淆 是 通过 S 盒 并 行 操作 部 
分 状态 〈 通 常 是 字 节 ) 来 实现 的 。 由 此 ，S 盒 的 密码 学 性 质 
对 密码 的 安全 性 而 言 意义 重大 。S 盒 经 典 的 安全 性 指标 主要 
包含 非 线 性 度 B3 光 和 差分 均匀 性 1， 它 们 分 别 是 度量 算法 抵 
御 线 性 攻击 694 和 差分 攻击 67 的 重要 指标 。 
1.1 类 最 优 4 比 特 S 盒 

2007 年 ，Leander 等 人 外 首次 定义 了 4 比特 最 优 S 盒 ， 
即 非 线性 度 和 差分 均匀 性 同时 达到 临界 值 4 的 双 射 S 盒 。 
定义 1% 4 比特 S$ 盒 9 ，2: 友 一 有 ， 若 存在 4 阶 可 逆 
矩阵 4 ，BeGL(4E)4 比特 向 量 c，def 太 ， 使 得 等 于 
Si(x)=B"(S,(Aex@c))@d 成 立 ， 则 称 % ，5， 仿 射 等 价 ， 记 为 


一 9 。 5 属于 $2 的 线性 等 价 集合 ， SI eLE(S,) Ps 
定义 20 已 知 任意 7 元 布尔 函数 :太志 瑟 均 可 用 多 元 
多 项 式 形式 唯一 表示 ， 即 


f(x)=f (N,N )= 2 CAN 
ner 


= U=(W, 2, ) o f(x) 如 上 形式 一 般 称 为 布尔 函 
数 的 代数 正规 型 ANF), 它 的 代数 次 数 deg(7) 为 非 零 系数 C, 
对 应 向 量 的 最 大 汉 明 重 : 


deg(f)= eas w(u) 


此 外 ， 由 文献 [38,39] 可 知 ，S 盒 仿 射 等 价 可 以 看 成 对 分 
组 密码 的 线性 层 作 相应 改变 ，S 盒 的 代数 次 数 、 差 分 均匀 性 、 
非 线性 度 在 仿 射 等 价 下 均 无 变化 ， 是 仿 射 等 价 的 不 变量 。 特 


[到 


别 地 ， 若 仿 射 等 价 中 8 为 最 优 4 比特 S 盒 ， 则 5 为 相同 等 价 
类 最 优 4 比特 $ 盒 。Leander 等 人 中 通过 限定 最 优 4 比特 S 


盒 5(i)=i(i=0,1,2,4,8) 的 方法 ， 

代表 元 ， 如 表 1 所 示 。 
值得 注意 的 是 ， 对 16 类 最 优 4 比特 S 盒 的 代数 次 数 进 

行 分 析 发 现 : 对 于 所 有 的 矢量 pe (pz*0)， 存 在 8 个 非 等 价 


找到 16 类 最 优 4 比特 S 盒 的 


性 质 。 


Table 1 


4 比特 8S 人 金 输 入 及 输出 低 次 代数 关系 分 析 # 


表 1 


ChinaXiv 合 作 期 刊 


第 37 卷 第 3 期 


16 类 最 优 4 比特 S 盒 代 表 元 


Representatives for all 16 classes of optimal 4 bit S-boxes 


S 盒 等 价 类 


代表 元 


S 盒 等 价 类 


代表 元 


Go 


GI 


G, 


Gs 


0,1,2,13,4,7,15,6, 
8,11,14,9,3,14,10,5 
0,1,2,13,4,7,15,6, 
8,11,14,3,5,9,10,12 
0,1,2,13,4,7,15,6, 
8,11,14,3,10,12,5,9 
0,1,2,13,4,7,15,6, 
8,12,5,3,10,14,11,9 
0,1,2,13,4,7,15,6, 
8,12,9,11,10,14,5,3 
0,1,2,13,4,7,15,6, 
8,12,11,9,10,14,3,5 
0,1,2,13,4,7,15,6, 
8,12,11,9,10,14,5,3 
0,1,2,13,4,7,15,6, 
8,12,14,11,10,9,3,5 


Gs 


G 5 


0,1,2,13,4,7,15,6, 
8,14,9,5,10,11,3,12 
0,1,2,13,4,7,15,6, 
8,14,11,3,5,9,10,12 
0,1,2,13,4,7,15,6, 
8,14,11,5,10,9,3,12 
0,1,2,13,4,7,15,6, 
8,14,11,10,5,9,12,3 
0,1,2,13,4,7,15,6, 
8,14,11,10,9,3,12,5 
0,1,2,13,4,7,15,6, 
8,14,12,9,5,11,10,3 
0,1,2,13,4,7,15,6, 
8,14,12,11,3,9,5,10 
0,1,2,13,4,7,15,6, 
8,14,12,11,9,3,10,5 


表 2 满足 deg(5,)=2,3 的 矢量 pe 1¥ \{0} 的 个 数 
Table 2 Number of peFy \{0} such that deg(S,)=2,3 
i S-Box 代数 
次 数 Go GI 要 G; G, Gs Ge G 
deg(S,)=2 3 3 0 0 0 0 0 0 
deg(S,)=3 12 12 15 15 15 15 15 15 
次 数 S-Box 代数 
Gs Oo Gio Gi Gy Gs Ga G 
deg(S,)=2 3 1 1 0 0 0 1 1 
deg(S,)=3 12 14 14 15 15 15 14 14 


定义 3214 设 有 7 轮 n 比特 迭代 分 旨 
姑 一 招 。 若 天 为 
Fx (x)=F(x@K) 。 为 方便 说 明 ， 本文 忽略 


轮 密 钥 ， 


密码 ， 其 轮 函数 为 


则 密 钥 异 或 的 轮 函 数 为 


经 算法 到 密 文 C 的 加 


密 过 程 可 以 表示 为 : 


化 密 钥 , 则 明文 P 


-1) 


F 轮 函数 的 非 线性 布 


为 三 PP 
Xu = Fe (x)=F(xOK,),(i=0,1,.…,7 
C=%, 
定义 4271 若 有 密 钥 K 满足 以 下 关 了 
尔 函 数 8 : 
8(Fr(x))=g(x®K)Dc=g8(x)O 8(K)De 
其 中 ce 5 为 常量 ， 


数 8 称 为 轮 函 数 的 非 线性 不 变 子 。 


Todo 


码 算法 的 
此 该 方法 的 关键 在 了 
子 。 即 找 圣 


E 线 虱 


如 下 阐述 


等 人 2 指出 ， 非 线 怕 
不 变 子 .而 S 盒 


F 寻找 到 S 盒 的 输入 
In 比特 S 盒 3090: 尼 一 到 输入 输出 的 如 下 关系 : 

SSx (00)=SsX9K)9c=8(00)98(K)@c 
基于 定义 3、4，Wei 等 人 60 对 非 线性 


则 称 这 些 密 钥 为 弱 密 钥 (Weak Keys)， 函 


不 变 子 攻击 的 核心 是 寻找 密 
作为 算法 重要 的 非 线性 部 件 ， 
输出 的 非 线性 


NZR 


可 路 代数 关系 作 了 


定义 569 对 任意 的 S 盒 5(x): 一 RR" ， 若 满足 
1 
f(S(x))B 8)=0, 


有 .OH 


最 优 S 盒 满足 seg(S,)=3( 详 见 表 2)。 
2  S 使 的 非 线性 回路 代数 关系 


非 线 性 回路 代数 关系 原理 
本 节 通 过 分 析 比 较 S 盒 的 输入 输出 关系 ， 提 出 了 S 盒 的 
非 线性 回路 代数 关系 的 快速 搜索 算法 ， 发 现 了 $ 盒 新 的 代数 


2.1 


的 非 线性 


口 


EF 中: f(x)，g(x) 为 两 个 加 元 布尔 函数 ，c ，c eR 为 常量 。 
称 该 方程 为 $ 盒 的 非 线性 回路 代数 关系 ，/jCD ，s(9) 为 S$ 盒 


路 函数 (简称 回路 函数 )。S 盒 非 线性 回路 代数 关 


系 是 使 


用 


非 线 性 函数 以 概率 


1 逼近 S 盒 。 令 


F(X,S(OO) :FY =f(X Oe(S(7)), 定义 S 盒 的 回路 函数 集合 


为 


U(F)={F(x,SC)If (OBOg(S(x))=0,f (s(x) BD ex) =c,xer} 


201901.00018v1 


chinaXiv 


录用 定稿 


令 YGCS0): 友 一 已 =800@8(30) ， 定 义 $ 盒 的 非 线性 

不 变 子 集 合 如 下 : 
U(V)={VGx, S(O)|g (Be (Ss(x))=c,xer} 

当 f=g 时 , 则 f ，8 为 S 盒 的 非 线 性 不 变 子 (简称 不 变 
子 )。 可 以 发 现 , 在 上 述 定义 下 ， 非 线性 不 变 子 是 回路 代数 关 
系 的 特殊 形式 ， 回 路 代数 关系 比 非 线 性 不 变 子 更 般 化 。 
观察 到 ，S 盒 的 回路 函数 扩展 至 算法 的 轮 函 数 也 成 立时 ， 可 
以 使 用 回路 函数 以 概率 1 逼近 算法 ， 从 而 用 于 区 分 攻击 。 
2.2 非 线性 回路 代数 关系 求解 算法 
掉 简 要 介绍 回路 代数 关系 的 求解 算法 : 将 
系 方程 使 用 布尔 函数 代数 正规 型 形式 展示 有 

之 qx Shs0) =6 
之 a,S(x) 四 Sb = 


其 中 ， a ， be 马 分 别 为 回路 代数 关系 函数 f(x)，g(x) 的 未 
知 系数 ，x*=TNx* ， 由 7 比特 S 盒 的 输入 输出 确定 的 如 上 方 
程 组 共 x 个 ,方程 总 数 为 2"m 个。 为 简单 而 不 失 一 般 化 ， 首 
先 介 绍 一 种 通用 的 分 析 方 法 : 
算法 1 通用 的 x 比特 S 盒 回 路 代数 关系 求解 算法 
引 由 于 未 知 系数 a;，4&be(0<izsu) 的 取 值 范围 已 知 ， 即 
任意 比特 系数 取 值 非 0 即 1， 令 矢量 入 =(qa mw) ， 
B,=(bo,b,…,b)(ww)=k)， 称 4 ，B, 为 系数 矢量 。 每 次 按 字典 
序 各 取 一 固定 值 的 和， 有 (0<4,B8 <s24294 -1) ,通过 限制 4 
的 汉 明 重 为 x ， 来 实现 求解 的 回路 代数 关系 的 最 高 代数 次 数 
为 x。 若 4 的 汉 明 重 为 *， 则 可 求解 出 己 知 S 盒 的 所 有 回路 
代数 关系 。 
b) 按 顺序 取 输 入 对 co,SCo) ，C+LSCo+D) ,求解 相应 的 
G500) ，(Gw6+D",SGw+D") ， 代 入 回路 代数 关系 方程 中 求 得 
常数 组 (ccs) 和 (cisc2wn) 。 
c 判 定 FCo 是 否 成 立 。 若 等 式 成 立 ， 则 依 字典 序 继续 取 
值 ， 直 至 遍历 所 有 的 输入 对 (w,SGw)we 局 ) ， 使 得 判定 等 式 
均 成 立 ， 存储 此 时 的 A =(a0,a,%%,0), B=(bo,b,,b,), Cc, Co 
即 对 所 有 的 (x0,S(X0)) ， 均 满足 系数 为 Ud, Ad, 
bb ，…，b, 的 闭环 子 方程 ， 其 中 方程 常数 为 a ，c,; 若 等 式 
不 成 立 ， 则 直接 跳 入 步 又 d)。 
d) 改 变 4. 或 到 的 值 ， 重 复 步 又 bj)c)， 依 次 寻找 符合 条 件 
的 回路 代数 关系 系数 并 将 其 
则 停止 操作 ， 至 此 得 到 全 
系 方程 。 
假设 对 4 比特 $ 盒 求 解 代数 次 数 为 的 回路 代数 关系 方 


也 


| 


路 代数 关 


“0, bo, 


nk 


五 


了 最 高 代数 次 数 为 k 的 回路 代数 关 
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保存 。 若 44，B, 遍历 完 域 BB”%…%， 
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组 ,求解 该 方程 组 即 可 得 到 系数 5,。 接 下 来 , 将 b=a85, 代 

入 方程 0) 或 (2) 〈 此 处 以 方程 (0 为 例 ) 得 到 

a (x DBS))D 2 OS(X)" = (5) 


同 理 ， 人 遍历 x(xe 悦 ) 值 代入 方程 (5) 中 ， 求 解 方程 组 即 可 
得 到 系数 a,， 最 后 利用 b=a,@65, 得 到 系数 六。 该 方法 通过 两 
次 求解 方程 组 ， 采 取 分 而 治之 的 方法 ， 减 少 了 每 次 求解 的 变 
量 ， 降 低 了 每 次 求解 的 时 间 复 杂 度 〈 降 至 
02+(C+C+…+CO) ) 和 出 错 率 ， 能 快速 高 效 求解 回路 代 
数 关系 方程 。 


3 一 些 4 比 特 S 盒 的 新 分 析 


3.1 比特 S 盒 回 路 代数 关系 求解 算法 的 应 用 
由 于 4 比特 S 盒 数 据 复杂 度 较 低 ， 本 节 则 利用 回路 代数 
关系 求解 的 一 般 性 方法 ， 设 计 了 求解 程序 ， 对 16 类 最 优 4 
比特 S 盒 及 目前 一 些 常 用 的 轻 量 级 4 比特 S 盒 进行 了 测试 。 
算法 2 计算 4 比特 S 盒 回 路 代数 关系 的 快速 方法 。 
输入 : 4 比特 S 盒 的 输入 x 、 输 出 SCo) 。 
输出 : S 盒 的 闭环 函数 FoD) 、GO) ， 常 数 m 、c 。 
a) 给 定 4 比特 $ 盒 S-Box， 定 义 向 量 X=(Cn,xazp,z) ， 
7Y=(m,,)s 碟 ， 用 于 存储 查 表 S-Box 获得 的 数 对 (x,5(x)) 。 
b) 定 义 一 维 数组 X,[15] ，X[15] , 数组 元 素 Xi ,Ylijeh。 
令 w=(5;,wytsiw) 的 汉 明 重 为 wz<w,< 人 PD，w, 依 次 增 大 ，4 的 
非 零 值 由 低位 向 高 位 过 渡 变 化 ， 计 算 固 定 X,Y 值 下 的 x*， 
7 ， 依 次 存储 于 数组 X05] ，ZX05 中 。 例 如 ， 
XX,[0,…,3]= 人 060,…, 驾 } ， 分别 取 (0,0,0,D),(0,0,1,0),(0,1,0,0),(1,0,0,0) 。 


五 


X,[ 和 =xn0=(0.01D) X [5=xwow=(0L0.D) 
X,[6]=xowm(u=(,0,0,D)) ， 依 此 类 推 , 五 05] 的 存储 与 X,[15] 相似 。 
c) 假 设 所 求 的 回路 代数 关系 的 代数 次 数 为 KL<sk<4 ， 


nt 


义 项 数 为 Nun=Cl+C?+…+Ct 定义 系数 向 是 
4B(ao ,01GNmoDDDvow) ， 4(ao0 和 Go ) ， 有 (DDNDwm) ， 
数组 元 素 为 所 求 回 路 代数 关系 系数 4 ,zs 五 ， 固 定 4B=4B ， 
取 对 应 位 保存 A=A 和 hh，B=B。 


中 取 输 入 X ， 计算 Coo 一 9 Culiha@@Yulib) ， 


站 


Coxo = -3 Quikb DYulilea) ; 令 Xo,=Xo +1, 计算 Cixor) ， C2axon) o 


若 同 时 满足 Gxw = Gow，CGaxw = Cow ， 则 继续 按 字 典 序 增 大 
X。， 重 复 Step 4， 直 至 遍历 所 有 X 取 值 ， 均 满足 上 述 条 件 ， 
则 保存 此 时 的 系数 4 ，B6 及 常数 G，C;， 闭 环 函 数 F(x) 的 
系数 为 4 ，G(y) 的 系数 为 B,。; 否则 ，4B=4B,+1， 重 复 Step 


为 了 降低 数据 复杂 度 ， 提 高 回路 代数 关系 函数 的 应 用 效 


程 ， 则 利用 算法 1 求解 ， 所 需 时 间 复 杂 度 为 0Q%*G**6w) 。 
可 以 看 到 ， 上 述 方法 易于 程序 实现 ， 能 得 到 全 部 回路 代数 关 
系 方程 ， 但 4 值 较 大 时 ， 该 方法 效率 相对 较 低 。 
下 面 ， 利 用 高 斯 消 元 求解 思想 介绍 一 种 返回 解 集 的 基 的 
方法 。 重 写 闭 环 不 变 子 求解 方程 : 
Pax BY bsSx) = (1) 
了 a S (x) @ 六 国难 襄 的 四 
方程 ()@(2) 有 
D(a Bb D(a, Bb =c@a G) 
此 处 令 有 =4e@2 ，C=ae@c ， 则 式 (3) 可 写 为 
D5 D5)=C (4) 


假设 “的 汉 明 重 为 ,遍历 xxs 瑟 ) 的 值 代入 方程 (4) 中 ， 


率 , 利 用 算法 2 寻找 了 一 些 4 比特 S 盒 的 二 次 回路 代数 关系 ， 
搜索 结果 整理 如 表 3 和 4 所 示 〈 表 中 “+” 表 示 异 或 )。 本 文 
使 用 一 台 普 通 PC 机 进行 实验 ， 实 验 配置 如 表 5 所 示 。 
3.2 16 类 最 优 4 比 特 S 盒 代 表 元 二 次 代数 关系 分 析 
表 3 可 发 现 ，16 类 最 优 4 比特 $ 盒 代 表 元 中 , ，Gs 两 
个 代表 元 的 二 次 回路 代数 关系 个 数 为 7 个 ,是 16 个 代表 元 中 
二 次 回路 代数 关系 总 数 最 多 的 代表 元 ， 这 些 $ 盒 存在 潜在 的 
安全 缺陷 。 
3.3 常用 轻 量 级 4 比特 S 盒 二 次 代数 关系 分 析 

表 4 展示 了 常见 的 轻 量 级 密码 算法 4 比特 S 盒 的 二 次 非 
线性 回路 代数 关系 的 搜索 结果 。 经 对 比 可 以 发 现 ， 非 线性 回 
路 代数 关系 不 同 于 差分 均匀 性 和 非 线性 度 ， 该 性 质 并 不 为 仿 


可 得 到 方程 个 数 为 2 ， 变 量 个 数 为 2*(CI+C?+…+C9O 的 方程 


射 等 价 不 变量 。 比 方 说 ，LBlock 算法 的 10 个 $ 盒 均 为 Gs 的 
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仿 射 等 价 类 ， 但 10 个 $ 盒 的 二 次 回路 代数 关系 的 形式 及 数 FG)+G(W)=c,。 
量 均 有 差异 。 表 4 常见 4 比特 轻 量 级 密码 算法 S 盒 deg =2 的 回路 代数 关系 表 
表 3 16 类 最 优 4 比特 S 盒 deg=2 的 回路 代数 关系 统计 表 Table 4 Loop algebraic relation of some famous lightweight 4 bit 
Table 3 Loop algebraic relation of all 16 classes of optimal 4 bit S-boxes such that deg =2 
S-boxes such that deg =2 ee 仿 射 次 回路 代数 关系 示例 交流 床 
S 盒 二 次 回路 代数 关系 示例 〈 含 不 变 子 ) 总 数 / 个 等 价 类 ( 含 不 变 子 ) 
F(X) = + 为 十 为 十 NN 十 加 加 PRESENT 
Cu GO) = 加 十 为 十 为 十 yo 十 0 7 /LED CQ / 无 
多 二 0 /PHONTON 
F(X)= Wh ++ + ON +h (NX) 二 十 允 征 芒种 和 于 巩 为 生 太 入 
G, GF) = 0 +H + yt yo + yoys 3 TWINE G, CGO) = + ty +t yy +» 1 
ca=c =0 a=c,=0 
G, / 无 LBlock/So Gs / 无 
F(X) =%, + XN + LBlock/Si Gs / 无 
Gs Gy) = y+ Yo) + 1 F(X)=% +NAb + NN + 
a=6=0 LBlock/S， G, GO) = 二 六 六 十 六 十 为 为 1 
F(X)=h +A+th + NN + hh 0 
G, GO) = 加 十 及 十 为 十 yo 十 六 六 3 LBlock/Ss Cs / 无 
de 0 LBlock/S4 GG, / 无 
F(X)= m0+A +NX + NN + XN F(X)=%, + XN + XN 
G, G(y)= yo + Wt ys + Yo + yy 3 LBlock/S;s G, G(y) = y, + yy + yy | 
c=c,=0 c=c=0 
F(X)= X00 + + + ON + LBlock/Se Gs / 无 
Gs CGO) = 加 十 及 十 为 十 yo 十 六 六 1 LBlock/S7 Cs 无 
aes0s0 LBlock/Ss ZG, / 无 
(XW) = + 加 十 加 十 和 i 十 和 NX 十 XN LBlock/So Cs / 无 
Cn CGO) = yt Wt ys +t yo + yy + yys 3 Piccolo Gs / 无 
a=c=0 F(x)= m0 +h + NX + HN + NN 
G, / 无 PRINCE Ci G(y)= yo0 + y+ y+ yy + yo 1 
F(x)=m0+A+h + NN + XX + XN + XN 6a=c=0 
G, GO)= Yt htt yy + yo + Vy + yy 1 RECTANGLE GG, / 无 
sw F(X)= xX + XX 
F(X) = + + + ON + 二 + PRIDE Gs CO) = 六 63 
Go G0) = + 为 十 六 十 3 六 十 六 十 六 1 i 
c=c=0 下 (0) = 二 加 十 加 十 加 加 
F(X) = + 加 H+ 十 和 ON +N G, G(y)= y+) 63 
G, G0) = 为 二 六 十 六 二 六 入 二 为 力 1 MANEDS ca=c=1l 
fs F(X) = XX 
下 (CO = 十 加 十 大 十 加 十 和 十 加 SKINNY Gs G(y)= Yo), 3 
Cu。 GO) = yo 二 了 二 六 二 为 十 六 十 访 7 c=0 
ss0 F(X) = Xo + N+ XN 
Gs / 无 Marvin Gs G(y)= y+y, 7 
F(X)= m0 + th + XN + XN + XX ci 
Gi CO) = yo0 + y+ ys + yy + yy + yy 1 Serpent/So G, / 无 
0 F(X) = XN + XX 
下 CO = 轴 十 训 十 襄 十 加 加 十 加 和 Serpent/Si Cu GY) = yo + yy 1 
G; GO) = ++ 十 入 二 了 7 站 二 区 二 
ca=c=0 Serpent/S> G / 无 
S 盒 LBlock/S， 的 二 次 回路 代数 关系 有 Serpent/S3 G, / 无 
F(X)=% + A +Al +hNX G(y)=y+yy + y+yy ， SS 盒 Serpent/S4 Gu , 无 
LBlock/Ss 的 二 次 回路 代数 关系 为 F0O)=%+N% + 加， Serpent/Ss Ga / 无 
G(y)=+yyy+yy， 其 余 LBlock 的 S 盒 却 不 存在 二 次 非 线 Serpent/S6 G, / 污 
性 回路 代数 关系 。 特 别 的 ，TWINE，PRINCE，PRIDE， Serpent/S1 Gy / 无 
Midori64，SKINNY，Marvin 等 算法 的 S 盒 均 存 在 二 次 非 线 罗 非 最 优 无 
性 回路 代数 关系 。 即 对 这 些 轻 量 级 算法 进行 不 变 子 攻击 时 ， S 盒 


攻击 者 能 以 概率 1 获得 关于 


Cn 


盒 的 等 式 : FCDO+GO)=a ， 


] 了 本 
1F 夫 十 J 
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表 5 计算 机 配置 326-341. 
Table 5 Computer configuration [ll] Wu Wenling, Zhang Lei. Lblock: a lightweight block cipher 
名 称 性 能 [C]/Applied Cryptography and Network Security.2011: 327-344. 
CPU Inter(R) Core(TM) i5-3230M [12] Borghoff J, et al. Prince-a low-latency block cipher for pervasive 
CPU 主 频 2.60GHz computing applications[C]//Advances in Cryptology-ASIACRYPT. 
内 存 16.0GB 2012: 208-225. 
系统 类 型 64 位 Windows 操作 系统 [13] Beaulieu R, Treatman-Clark S, Shors D, et al. The SIMON and SPECK 
编程 软件 Microsoft Visual Studio 2010、Python 2.7 lightweight block ciphers [C]/Proc of the 52nd ACM/EDAC/IEEE 
注意 到 , SKINNY, PRIDE, Midori64, MANTIS, Marvin Design Automation Conference. 2015: 1-6. 
等 算法 S 盒 二 次 回路 代数 关系 中 二 次 项 较 少 ， 甚 至 有 线性 [14] Zhang Wentao, Bao Zhenzhen, Lin Dongdai, et al. Rectangle: a bit-slice 
路 代数 关系 ， 即 算法 存在 潜在 的 安全 缺陷 。 lightweight block cipher suitable for multiple platforms [J]. Science 
根据 表 4 可知，PRIDE S 盒 的 非 线 性 二 次 回路 代数 关系 China Information Sciences, 2015, 58(12): 1-15. 


共 63 个 ， 比如 : F(X)=m DADAL BON , G(y)= By, Gs(y) 
为 线性 函数 。 值 得 注意 的 是 ，Marvin 的 S 盒 存 在 7 个 二 次 非 


线性 回路 代数 关系 ， 如 下 S 盒 回 路 代数 关系 
FD=mDBDHODAN, Gy)=IOy,, F(X 只 有 一 个 二 次 项 ， 


GsQ9) 为 线性 函数 ， 此 回路 代数 关系 既 满足 了 非 线 性 ， 又 使 得 
二 次 项 数 最 少 。 
4 ”结束 语 

本 文 根 据 S 盒 的 输入 输出 关系 ， 将 非 线性 回路 代数 关系 


应 用 于 4 比特 S 盒 的 性 质 研究 , 为 4 比特 S 盒 的 设计 和 分 析 
提供 了 新 的 测 斌 方法。 本文 设计 了 非 线性 回路 代数 关系 的 求 
解 算法 ， 主 要 应 用 于 16 类 最 优 4 比特 $ 盒 和 一 些 常 用 的 轻 
量 级 4 比特 S 盒 的 测试 。 结 果 表 明 : 16 类 最 优 4 比特 S 盒 的 
E 回 路 代数 关系 ，TWINE，PRINCE 
PRIDE，Midori64，MANTIS，SKINNY，Marvin 等 轻 量 级 算 
法 的 $ 盒 均 存在 不 同 数量 的 回路 代数 关系 ， 为 算法 攻击 提供 
了 更 多 的 可 能 性 。 
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